Центр знаний DevOps
Центр знаний DevOps

Освоение SSH: Ваше незаменимое руководство по командной строке

Раскройте весь потенциал Secure Shell (SSH) с помощью этого незаменимого руководства по командной строке. Изучите основные команды для безопасного удаленного входа, включая пользовательские порты и выполнение одной команды. Освойте аутентификацию на основе ключей для повышения безопасности и оптимизируйте перемещение данных с помощью инструментов безопасной передачи файлов, таких как `scp` и `sftp`. Наконец, откройте для себя продвинутые методы, такие как локальная переадресация портов и настройка файла `~/.ssh/config`, чтобы значительно улучшить ваш административный рабочий процесс и эффективность.

32 просмотров

Освоение SSH: Ваше подробное руководство по командной строке

Протокол Secure Shell (SSH) является основой безопасного удаленного администрирования в средах Linux, macOS и Unix-подобных. Он обеспечивает зашифрованный канал для сетевых служб, позволяя пользователям безопасно входить в удаленные системы, выполнять команды и передавать файлы без раскрытия конфиденциальных данных.

Хотя SSH повсеместно распространен, освоение его основных команд и параметров конфигурации может значительно повысить эффективность, безопасность и надежность рабочего процесса управления удаленными серверами. Данное руководство служит исчерпывающим ресурсом, охватывающим фундаментальные команды, необходимые для безопасного входа, эффективной работы с файлами и мощных сетевых методов, таких как туннелирование портов.

1. Установление безопасного удаленного входа

Наиболее частым применением SSH является обеспечение безопасного терминального соединения с удаленным сервером. Базовый синтаксис прост, но существуют критически важные параметры для повышения безопасности и удобства использования.

Базовый синтаксис подключения

Стандартная команда требует указания удаленного пользователя и адреса хоста (IP или доменное имя):

ssh [пользователь]@[хост]
# Пример:
ssh [email protected]

Указание нестандартного порта

По соображениям безопасности многие администраторы изменяют порт SSH по умолчанию (порт 22). Используйте флаг -p для указания другого номера порта:

ssh -p 2222 [email protected]

Выполнение одиночных удаленных команд

SSH не ограничивается открытием интерактивной оболочки. Вы можете выполнить одиночную команду на удаленном сервере и получить результат локально, что чрезвычайно полезно для написания сценариев и быстрых проверок.

# Выполнить 'ls -l' в каталоге /var/log удаленного сервера
ssh user@host 'ls -l /var/log'

# Проверить время работы сервера (uptime)
ssh user@host uptime

2. Управление аутентификацией с помощью SSH-ключей

Аутентификация по паролю уязвима для атак перебора. SSH-ключи — криптографическая пара, состоящая из закрытого ключа (хранится в секрете на вашей машине) и открытого ключа (размещается на удаленном сервере) — предлагают значительно более безопасный метод аутентификации.

Генерация пар ключей

Если у вас еще нет пары ключей, вы можете сгенерировать ее с помощью ssh-keygen. Рекомендуется использовать надежную кодовую фразу для защиты вашего закрытого ключа.

ssh-keygen -t rsa -b 4096

Копирование открытого ключа на сервер

Утилита ssh-copy-id — это самый простой способ установить ваш локальный открытый ключ (~/.ssh/id_rsa.pub) в файл ~/.ssh/authorized_keys удаленного пользователя, что обеспечивает вход без пароля.

# Копирует открытый ключ по умолчанию на сервер и устанавливает правильные разрешения
ssh-copy-id user@host

Совет: Использование закрытого ключа
Если ваш закрытый ключ находится не в расположении по умолчанию (~/.ssh/id_rsa), вам необходимо использовать флаг -i для указания его пути при подключении:
bash ssh -i ~/.ssh/my_custom_key user@host

3. Безопасная передача файлов

SSH предоставляет два основных инструмента для безопасной передачи файлов: scp (Secure Copy) и sftp (Secure File Transfer Protocol).

A. Использование Secure Copy (scp)

scp идеально подходит для простых, быстрых, разовых передач файлов, предлагая интерфейс командной строки, аналогичный стандартной команде Unix cp (copy).

Передача файлов с локального компьютера на удаленный

# Синтаксис: scp [локальный_файл] [пользователь]@[хост]:/[удаленный_путь]
scp deployment.tar.gz user@webserver:/var/www/uploads/

Передача файлов с удаленного компьютера на локальный

# Синтаксис: scp [пользователь]@[хост]:/[удаленный_файл] [локальный_путь]
scp user@dbserver:/var/log/backup.sql .

Рекурсивное копирование каталогов

Используйте флаг -r для копирования полных структур каталогов.

scp -r ~/project_files/ user@buildserver:/home/user/builds/

B. Использование Secure File Transfer Protocol (sftp)

sftp устанавливает интерактивный сеанс, аналогичный традиционному FTP-клиенту, но защищенный через SSH. Он лучше подходит для навигации по удаленным каталогам, перечисления файлов и выполнения нескольких передач в рамках одного сеанса.

Запуск сеанса sftp

sftp user@host

Основные команды сеанса sftp

Команда Описание
ls Список удаленных файлов
lls Список локальных файлов
get filename Загрузить файл с удаленного сервера
put filename Отправить файл на удаленный сервер
cd /path/ Сменить удаленный каталог
lcd /path/ Сменить локальный каталог
quit Завершить сеанс sftp

4. Продвинутый метод: SSH-туннелирование (переадресация портов)

SSH-туннелирование, или переадресация портов, позволяет шифровать соединения для незащищенных протоколов или получать доступ к службам во внутренней сети через промежуточный хост (jump host). Наиболее распространенной формой является локальная переадресация портов.

Локальная переадресация портов (-L)

Локальная переадресация направляет трафик с порта на вашей локальной машине на указанный порт на удаленном хосте через SSH-сервер. Это полезно для доступа к внутренним базам данных, веб-интерфейсам или проприетарным службам, которые не раскрыты напрямую в общедоступный интернет.

Сценарий: Вы хотите получить доступ к частному внутреннему веб-серверу (доступному только с jumpbox) на порту 80.

# Синтаксис: ssh -L [локальный_порт]:[целевой_хост]:[целевой_порт] [пользователь]@[jumpbox]
ssh -L 8080:internal-web.lan:80 user@jumpbox -N
  • -L 8080:internal-web.lan:80: Трафик, поступающий на вашу локальную машину по порту 8080, перенаправляется на internal-web.lan по порту 80 через jumpbox.
  • -N: Указывает SSH не выполнять удаленную команду; он просто настраивает туннель.

После установления соединения вы можете получить доступ к внутреннему сайту, перейдя в локальном браузере по адресу http://localhost:8080.

5. Повышение эффективности с помощью файла конфигурации SSH

Ручной ввод сложных команд SSH, включая пользовательские порты, имена пользователей и пути к ключам, неэффективен. Файл конфигурации SSH (~/.ssh/config) позволяет определять псевдонимы и настройки для часто используемых серверов.

Пример конфигурации (~/.ssh/config)

Создайте или отредактируйте файл ~/.ssh/config со следующей структурой:

# Сервер 1: Стандартный ключ, нестандартный порт
Host dev-web
    HostName 10.0.0.50
    User deployment_user
    Port 2222
    IdentityFile ~/.ssh/id_rsa_dev

# Сервер 2: Доступ через jumpbox, требующий аутентификации по ключу
Host production-db
    HostName 203.0.113.10
    User sysadmin
    IdentityFile ~/.ssh/prod_key
    LocalForward 54320 127.0.0.1:5432

Подключение с использованием псевдонимов

После настройки подключение становится значительно проще:

# Подключается к 10.0.0.50 по порту 2222 как deployment_user
ssh dev-web

# Подключается и автоматически настраивает переадресацию портов (если настроено)
ssh production-db

Заключение

SSH — это мощный, гибкий инструмент, необходимый для современного системного администрирования. Выйдя за рамки простой команды ssh user@host, приняв аутентификацию по ключу, используя утилиты безопасной передачи файлов, такие как scp и sftp, и освоив файлы конфигурации, вы получаете высокоэффективную и безопасную среду удаленного доступа. Постоянная практика с этими фундаментальными командами гарантирует, что вы сможете эффективно и безопасно управлять своей удаленной инфраструктурой и взаимодействовать с ней.